HIMAPALA UNESA

Himapala Unesa adalah organisasi bergerak di bidang outdoorsport dan sosial.

More
template 1

ORGANISASI

Proin luctus placerat arcu, eget vehicula metus rhoncus ut. Fusce pharetra pharetra venenatis. Sed condimentum ornare ipsum.

More
template 2

Maecenas nisl est

Vestibulum suscipit ullamcorper bibendum. Nam quis commodo ligula. Etiam et mi et magna molestie iaculis.

More
template 3

Lorem ipsum dolor sit amet

Duis fermentum sem nec ipsum lacinia fermentum. Lorem ipsum dolor sit amet, consectetur adipiscing elit.

More
template 4

Popular Posts

Blog Archive

Sample Text

Ronkor.C: Tangisku bukan milikmu


Ronkor.C. Ronkor merupakan salah satu worm lokal yang variannya masih dilaporkan oleh pengguna, saat ini telah mencapai 3 varian yang ditemukan.  Seperti juga pada beberapa worm lokal lainnya, curhatan diekspresikan melalui puisi.
Ronkor.C

A. Info Malware
Nama: Ronkor.C
Asal: Indonesia
Ukuran File: 140 KB (143.360 bytes)
Packer : ~
Pemrograman : Visual Basic
Icon : Folder
Tipe : Worm

B. Tentang Malware
Dengan icon menyerupai folder, worm ini berusaha memanfaatkan kelengahan pengguna yang mengira file worm tersebut folder dan mengkliknya. Ditambah lagi dengan nama file worm yang mengundang rasa penasaran, antara lain:

- Game XXX FrewWare.exe
- McAfee_Antivirus_Pro_final.exe
- Puisi bagus.exe
- Poto hot.exe, dan seterusnya.

C. Companion/File yang dibuat
Saat aktif, worm akan mencari setiap drive yang ditemukan dan membuat file/folder antara lain sebagai berikut:

  • Data .exe pada tiap root drive, di mana  adalah nama user yang sedang login.
  • Folder dengan nama r0nk0r pada drive harddisk.
  • Folder 51r0nk0r pada removable drive seperti flash disk.
  • File dengan nama Folder.htt di dalam folder 51r0nk0r pada removable disk.
  • File Empty.pif yang diletakkan pada Startup.
  • File dengan lokasi di Windows\r0nk0r.exe.
  • File dengan lokasi di Windows\r0nk0r.vbs.jpg.
  • File dengan lokasi di Windows\setup.exe.
  • File dengan lokasi di Windows\system32\IEXplorer.exe.
  • File dengan lokasi di Windows\system32\MrHello.scr.
  • File dengan lokasi di Windows\system32\shell.exe.
  • File C:\puisiku.txt. Jika dibuka dengan text editor seperti NotePad, akan terlihat seperti pada gambar di atas. Perhatikan informasi tanggal dan waktu yang tertera di bagian bawah teks merupakan tanggal dan waktu hasil generate berdasarkan sistem komputer.
D. Hasil Infeksi
Satu hal yang perlu dicatat dari worm ini adalah teknik pertahanannya yang cukup ketat guna melindungi dirinya dari berbagai tools dan antivirus.  Antara lain menutup aplikasi tertentu yang dijalankan, seperti Task Manager, Regedit, Process Explorer, dan berbagai antivirus yang dikenali berdasarkan string tertentu yang disimpan pada tubuh worm.
Worm ini juga memiliki kemampuan membuat duplikat worm dengan memodifikasi nama file dengan ekstensi *.exe yang dijalankan pengguna.  Misalnya pengguna menjalankan aplikasi bernama abc.exe, maka worm dapat membuat file duplikat worm dengan abc .exe (terdapat spasi sebelum .exe),  sementara file abc.exe yang asli di- hidden. Perbedaan file asli dan file worm terlihat seperti pada gambar berikut, yang diambil dari Command Prompt dengan perintah dir /a.
Ronkor.C
Di memory, worm menjalankan beberapa proses worm dengan nama antara lain:
  • r0nk0r.exe
  • IExplorer.exe
  • WINLOGON.exe
  • SERVICES.exe
E. Pembersihan
Dengan RealTime Protector PCMAV yang selalu aktif, pengguna tidak perlu takut terinfeksi oleh worm ini karena PCMAV akan mencegat worm ini sebelum tereksekusi. Tetapi untuk pengguna yang telah terlanjur terinfeksi, mungkin akan mendapatkan kesulitan dalam menjalankan PCMAV.exe karena worm akan memblok eksekusinya.
Salah satu cara adalah dengan mengubah PCMAV.exe menjadi nama acak dan mengganti ekstensinya, misalnya menjadi xyz.scr. Ekstensi *.scr merupakan file executable yang juga dapat dijalankan, tetapi tidak dicegat ataupun di-hidden oleh worm Ronkor.C saat dieksekusi.  Lakukan scan dan PCMAV akan mendeteksi keberadaan worm ini di memory dan seluruh drive yang dipilih.

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.7 Update Build2 telah hadir dengan penambahan 98 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.7, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya disini :
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
di 11.22
Label:

Posting Komentar

Langganan: Posting Komentar (Atom)